top of page
Foto van schrijverOlivier Sustronck

Online toestemming bekomen

De belangrijkste rechtsgrond om persoonsgegevens te verwerken is de toestemming bekomen van de betrokkene. Wanneer we ons op het internet begeven worden we overspoeld met kadertjes en toestemmingsknoppen. Maar aan welke vereisten moet de online toestemming voldoen om GDPR-compliant te zijn.


Hoe toestemming vragen?


Overeenkomstig artikel 4, 11 van de GDPR moet een toestemming aan volgende voorwaarden voldoen:

  1. De toestemming moet vrij gegeven worden

  2. De toestemming moet specifiek zijn

  3. De toestemming moet geïnformeerd zijn

  4. De toestemming moet een ondubbelzinnige en actieve handeling zijn

Indien de toestemming betrekking heeft op verschillende aangelegenheden dient het verzoek tot toestemming dit aan te geven in duidelijke en eenvoudige taal waarbij een duidelijk onderscheid gemaakt wordt met de verschillende aangelegenheden (art. 7, 2 GDPR).

Hoewel de GDPR hiermee aangeeft aan welke minimumvereisten de toestemming moet voldoen zijn deze begrippen in de praktijk nog steeds voor erg veel interpretatie vatbaar.


De recitals van de GDPR geven echter bijkomende specificaties. Zo mag het vakje waarin toestemming gevraagd worden nog niet aangevinkt zijn. Indien toestemming wordt gevraagd voor meerdere doeleinden, moet uitdrukkelijk toestemming worden verleend voor elk van deze doeleinden. Indien een website naast haar hoofdactiviteit aldus de gegevens die zij inzamelt eveneens wenst te gebruiken voor direct marketingactiviteiten, dient zij voor beide doeleinden  een afzonderlijke toestemming te vragen, die duidelijk van elkaar onderscheiden is en de nodige uitleg hieromtrent aanbieden (recital 32).


Om met kennis van zaken kennis te kunnen geven moet de betrokkene zich ervan bewust zijn dat hij toestemming geeft en hoever deze toestemming reikt. De toestemming moet steeds vrij zijn en mag geen nadelige gevolgen hebben voor de betrokkene indien hij zijn toestemming weigert of intrekt (recital 42).


De International Association of Privacy Professionals heeft een praktische handleiding opgemaakt waarin zij aan de hand van online gebruikerservaring aangeven welke kadertjes al dan niet voldoen om op een correcte manier online toestemming te vragen. Hoewel deze gids geen ‘officiële’ aanbeveling uitmaakt van de toezichthouder, de wetgever of de rechtspraak kan het toch gezien worden als een publicatie van een gezaghebbende autoriteit in de rechtsleer rond privacy en in die zin ook gebruikt worden.


Praktische tips bij vragen van toestemming


Volgende handelswijzen worden afgeraden bij het vragen van online toestemming:

  1. De gebruiker is niet voldoende geïnformeerd indien hij op een knop met een vraagteken moet klikken om uitleg te krijgen waarvoor hij zijn toestemming verleent. Zo kan beter direct bij de vraag een korte uitleg gegeven worden omtrent wie welke gegevens verkrijgt en voor welke doeleinden, met een link naar de privacyverklaring van de website.

  2. De veelgebruikte zin “indien u cookies afzet is het mogelijk dat sommige functies of toepassingen van de website niet correct werken” is niet specifiek genoeg. De tekst dient uitdrukkelijk aan te geven welke functies op de website niet correct werken indien geen toestemming gegeven wordt. Zo dient een navigatiewebsite die toegang vraagt tot de locatiegegevens aangeven dat bij gebrek aan toestemming, de website de real-time route niet kan weergeven.

  3. Het gebruik van woorden als “bijvoorbeeld”, “en dergelijke”, “onder andere” moet vermeden worden bij het vragen van toestemming en het informeren waarvoor toestemming gegeven wordt, daar deze termen niet voldoen aan de vereiste van ondubbelzinnigheid. De tekst moet met de nodige zorg worden opgesteld in die zin dat alle doelen waarvoor de gegevens gebruikt zullen worden opgenomen zijn.

  4. Niet alleen het vakje waarin de toestemming gevraagd wordt mag nog niet aangevinkt zijn. Ook het vakje waarbij eventueel geen toestemming gegeven wordt mag nog niet aangevinkt zijn. De toestemming of weigering van toestemming moet een actieve handeling zijn zodat nog geen enkel vakje reeds mag aangevinkt staan.

  5. Tevens is het niet toegelaten om een keuze te “promoten” door aan te geven dat toestemmen de standaardinstellingen zijn, de meerderheid van de gebruikers deze optie kiest of het bedrijf deze keuze aanraadt. De verschillende keuzes dienen daarentegen op dezelfde wijze weergegeven worden, zodat de gebruiker zelf een vrije keuze maakt.

  6. Wanneer bij het vragen van toestemming twee keuzes onder elkaar wordt getoond, worden beide opties als gelijkwaardig aanzien voor de meeste gebruikers. Indien de keuzes naast elkaar staan wordt de rechter optie als de standaard keuze aanzien. Een knop in een grijze of wazige kleur zou er dan weer voor zorgen dat de gebruiker langer stilstaat bij zijn keuze ten opzichte van een kleurige, opzichtige knop.

  7. De privacyinstellingen dienen duidelijk en op een eenvoudig toegankelijke interface worden weergegeven. De onderneming dient oog te hebben voor privacy by design.

Meer informatie rond GDPR en onze diensten kan je hier vinden.

コメント


bottom of page